微点交流论坛

标题: (转)僵尸还魂——自启动+kill微点 [打印本页]

作者: qq200878 时间: 2008-5-17 17:22 标题: (转)僵尸还魂——自启动+kill微点

本文将在7月的《黑客防线》与大家见面。

最近摸索出一套利用注册表垃圾来实现自启动的猥琐方法，呵呵！要知道每个人的电脑上都会有注册表垃圾的，这些东西有部分是很有危害的，呵呵！不明说，大家也恍然醒悟了吧！

自启动后，干什么呢，当然首先要杀“杀软”了！这次先拿微点下刀。

实际上注册表中关于sys的启动项是被标记为Start=1的，也就是IO子系统来加载的，而微点的驱动乱七八糟，有的是1，有的是2，所以基本上我们的加载完了，他还在慢慢悠悠的磨机呢！杀微点的时候一定要等到他全部启动了，再杀，我目前的做法是延时40s后再杀。

通过在vm中测试，我把整个思路，编程实现了一遍，把每个环节都过了遍。收获贼多贼多！贼希望与大家分享！

本次技术学习，技术实践，耗时1周，学到很多东西！强烈感谢Sysnap，Sudami 大牛的指点；感谢看雪，感谢cctv及各地tv。。。

shineastdh 2008年05月16日星期五下午 10:02
刚才在内测版上测试通过了
http://hi.baidu.com/shineastdh/b ... 51f240d6887d0a.html

作者: 点饭的百度空间 时间: 2008-5-17 17:34
感谢作者对微点的支持！已上报微点会尽快解决

我通过作者文章透露的内容用google找到了方法HKEY_LOCAL_MACHINE/system/CurrentControlSet/service/...下start键值为1的设备驱动程序
http://hi.baidu.com/hack_zone/bl ... 78ede737d12278.html

作者: qq200878 时间: 2008-5-17 20:00
mp110001、2、4、8为2
mp110006、7、9、mp110011为1
mp110003、5 mp110010、12、13为0
mp110005为3
MPSVCService为2
不知为什么这么设计
顺便发现了微点对于重命名这些名字没有防御，修改成功.编辑内容也没有防御

[ Last edited by qq200878 on 2008-5-17 at 20:03 ]

作者: gudan 时间: 2008-5-17 20:11
呵呵，该不会是在注册表某某项某些或者一堆键值中做点文章吧，那个估计没什么意义，随便搞一下什么都能挂了，以前用那个优化过微点的启动速度，不过没有多大反应

作者: gudan 时间: 2008-5-17 20:12

Quote:

Originally posted by qq200878 at 2008-5-17 20:00:
mp110001、2、4、8为2
mp110006、7、9、mp110011为1
mp110003、5 mp110010、12、13为0
mp110005为3
MPSVCService为2
不知为什么这么设计
顺便发现了微点对于重命名这些名字没有防御，修改成功.编辑内容也没 ...

那是你用注册表直接编辑的哈

作者: qq200878 时间: 2008-5-17 20:27
不是,以前是不能改的

作者: gudan 时间: 2008-5-17 20:39

Quote:

Originally posted by qq200878 at 2008-5-17 20:27:
不是,以前是不能改的

呵呵

驱动都加载了什么不能够做呢？建议微点也做一个内核吧，就像NTLDR那样用DBR装载，然后Hook了NTLDR过滤恶意驱动装载，过滤ntoskrnl、hal一些变态的东西，把整个windows都hook了就全部都不怕了，除了硬件级别以及主引导都无可匹敌，那时候就天下第三啦:D:D:cool::cool::lol::);););):P:P:P:P:P:P:cool::cool::cool::cool::cool:

灌水

作者: 点饭的百度空间 时间: 2008-5-17 20:42

Quote:

Originally posted by gudan at 2008-5-17 20:39:
呵呵

驱动都加载了什么不能够做呢？建议微点也一个内核吧，就像NTLDR那样用DBR装载，然后Hook了NTLDR过滤恶意驱动装载，过滤ntoskrnl、hal一些变态的东西，把整个windows都hook了就全部都不怕了，除了硬件级别以及主引导都无可匹敌，那时候就天下第三啦

楼上反病毒的建议很好超版看看啊

作者: qq200878 时间: 2008-5-17 20:45
微点下一代的研发目标

作者: Alpha_Boy 时间: 2008-5-17 21:02
哇，好厉害，楼上的都是专业的……我一点都看不懂-.-

只能简单地说，加油，祝你们取得成功了。

作者: 046569 时间: 2008-5-17 22:44
这个恐怕实现不了吧？hook太多稳定性、效率会明显下降。更何况这么做岂不是成了“维和警察”？软件的开发都得先和你打招呼？要不就做不了？
shineast很聪明，o(∩_∩)o...

作者: gudan 时间: 2008-5-18 10:22

Quote:

Originally posted by 046569 at 2008-5-17 22:44:
这个恐怕实现不了吧？hook太多稳定性、效率会明显下降。更何况这么做岂不是成了“维和警察”？软件的开发都得先和你打招呼？要不就做不了？
shineast很聪明，o(∩_∩)o...

看好是灌水

作者: 046569 时间: 2008-5-18 10:50
不是灌水，我和shineast测试过了。。。。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn